×

一款用于搭建本地受信任CA证书工具

hqy hqy 发表于2026-01-27 22:29:36 浏览4 评论0

抢沙发发表评论

简介


mkcert 是一个用 Go 语言编写的简单零配置工具,专为本地开发环境设计,用于生成有效的 SSL/TLS 证书,解决自签名证书在浏览器中不被信任的问题。


主要功能

自动信任机制

生成证书时,mkcert 会自动创建本地 CA(证书颁发机构)并将其添加到系统的信任存储中。

浏览器加载由 mkcert 生成的证书时,会显示为“安全受信”,避免警告提示。

快速生成证书

单域名证书:mkcert example.com

生成 example.com.pem(证书文件)和 example.com-key.pem(私钥文件)。

多域名证书:mkcert --cert-file cert.pem --key-file key.pem --ecdsa example.com *.example.com

支持通配符域名(如 *.example.com)和 ECDSA 密钥对(提高安全性)。

本地域名:mkcert localhost 127.0.0.1 ::1

为本地开发生成证书,覆盖 IPv4、IPv6 和域名。

证书管理

安装证书:mkcert install

将生成的证书安装到系统信任存储中。

清理证书:mkcert clean

移除由 mkcert 安装的证书,恢复系统初始状态。

自定义路径:通过 --cert-file 和 --key-file 参数指定证书和私钥的保存路径。

技术优势

跨平台支持

兼容 macOS、Linux 和 Windows,满足不同开发环境需求。

在 macOS 上可通过 Homebrew 安装(brew install mkcert),Linux 使用 apt 或手动下载,Windows 通过 Chocolatey 安装(choco install mkcert)。

简化开发流程

无需手动配置 CA 或处理证书信任问题,一键生成可用的 HTTPS 证书。

适合本地开发、测试环境,模拟真实生产环境的 HTTPS 加密通信。

安全性

支持 ECDSA 密钥对,提供比传统 RSA 更高的安全性。

证书仅限本地使用,避免泄露到生产环境的风险。

注意事项

仅限本地使用:mkcert 生成的证书不适合生产环境,需通过正规 CA 签发生产证书。

依赖本地 CA:每台机器需单独初始化 mkcert(运行 mkcert -install),证书无法跨机器共享。

自定义参数:官方版本不支持自定义 CA 根证书的 O/OU/CN 和有效期,但可通过 fork 代码(如 xzxiaoshan/mkcert)扩展功能。

如需了解更多信息,可以访问其官方网站或查阅相关的技术文档。

GitHub地址

https://github.com/FiloSottile/mkcert



安装教程



Linux











# 安装依赖sudo apt install libnss3-tools-or-sudo yum install nss-tools-or-sudo pacman -S nss-or-sudo zypper install mozilla-nss-tools## 安装证书brew install mkcert

MacOS



brew install mkcertbrew install nss # if you use Firefox

Windows





choco install mkcertorscoop bucket add extrasscoop install mkcert
示例


mkcert -key-file key.pem -cert-file cert.pem example.com *.example.com

















$ mkcert -installCreated a new local CA ?The local CA is now installed in the system trust store! ⚡️The local CA is now installed in the Firefox trust store (requires browser restart)! ?
$ mkcert example.com "*.example.com" example.test localhost 127.0.0.1 ::1
Created a new certificate valid for the following names ? - "example.com" - "*.example.com" - "example.test" - "localhost" - "127.0.0.1" - "::1"
The certificate is at "./example.com+5.pem" and the key at "./example.com+5-key.pem" ✅
功能选项

















 -cert-file FILE, -key-file FILE, -p12-file FILE     Customize the output paths.
 -client     Generate a certificate for client authentication.
 -ecdsa     Generate a certificate with an ECDSA key.
 -pkcs12     Generate a ".p12" PKCS #12 file, also know as a ".pfx" file,     containing certificate and key for legacy applications.
 -csr CSR     Generate a certificate based on the supplied CSR. Conflicts with     all other flags and arguments except -install and -cert-file.
图片


打赏

本文链接:https://kinber.cn/post/6195.html 转载需授权!

分享到:


推荐本站淘宝优惠价购买喜欢的宝贝:

image.png

 您阅读本篇文章共花了: 

群贤毕至

访客